管理 Azure 本地版本 23H2 的安全默认值

适用于:Azure 本地版本 23H2

本文介绍如何管理 Azure 本地实例的默认安全设置。 还可以修改部署期间定义的偏移控制和受保护的安全设置,使设备处于已知良好状态。

先决条件

在开始之前,请确保有权访问已部署、注册并连接到 Azure 的 Azure 本地版本 23H2 系统。

在Azure 门户中查看安全默认设置

若要查看Azure 门户中的安全默认设置,请确保已应用 MCSB 计划。 有关详细信息,请参阅 应用Microsoft云安全基准计划

可以使用安全默认设置来管理系统上的系统安全性、偏移控制和安全核心设置。

显示Azure 门户中“安全默认值”页的屏幕截图。

在“数据保护>网络保护”选项卡下查看 SMB 签名状态。SMB 签名允许对 Azure 本地实例和其他系统之间的 SMB 流量进行数字签名。

显示Azure 门户中的 SMB 签名状态的屏幕截图。

在Azure 门户中查看安全基线符合性

使用 Microsoft Defender for Cloud 注册 Azure 本地实例或分配内置策略 Windows 计算机应满足 Azure 计算安全基线的要求后,将生成符合性报告。 有关 Azure 本地实例的规则的完整列表,请参阅 Windows 安全基线

对于 Azure 本地计算机,如果满足安全核心的所有硬件要求,则默认预期的符合性分数为 321(在 324 个规则中为 99%)。

下表说明了不符合的规则以及当前差距的理由:

规则名称 符合性状态 原因 注释
交互式登录: 试图登录的用户的消息文本 不符合 警告 - “”等于“” 这必须由客户定义,它未启用偏移控制。
交互式登录: 试图登录的用户的消息标题 不符合 警告 - “” 等于 “” 这必须由客户定义,它未启用偏移控制。
最短密码长度 不符合 严重 - 7 小于最小值 14。 这必须由客户定义,它没有启用偏移控制,以便允许此设置与组织的策略保持一致。

修复规则的符合性

若要修复规则的符合性,请运行以下命令或使用你喜欢的任何其他工具:

  1. 法律声明:根据组织的需求和策略,为法律通知创建自定义值。 运行以下命令:

    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeCaption" -Value "Legal Notice"
    Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "LegalNoticeText" -Value "LegalNoticeText"
    
  2. 最小密码长度:将 Azure 本地计算机上的最小密码长度策略设置为 14 个字符。 默认值为 7,监视基线策略仍标记低于 14 的任何值。 运行以下命令:

    net accounts /minpwlen:14
    

使用 PowerShell 管理安全默认值

启用偏移保护后,只能修改非受保护的安全设置。 若要修改构成基线的受保护安全设置,必须先禁用偏移保护。 若要查看和下载安全设置的完整列表,请参阅 安全基线

修改安全默认值

从初始安全基线开始,然后修改部署期间定义的偏移控制和受保护的安全设置。

启用偏移控制

使用以下步骤启用偏移控制:

  1. 连接到 Azure 本地计算机。

  2. 运行以下 cmdlet:

    Enable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • 本地 - 仅影响本地节点。
    • 群集 - 使用业务流程协调程序影响群集中的所有节点。

禁用偏移控制

使用以下步骤禁用偏移控制:

  1. 连接到 Azure 本地计算机。

  2. 运行以下 cmdlet:

    Disable-AzsSecurity -FeatureName DriftControl -Scope <Local | Cluster>
    
    • 本地 - 仅影响本地节点。
    • 群集 - 使用业务流程协调程序影响群集中的所有节点。

重要

如果禁用偏移控制,则可以修改受保护的设置。 如果再次启用偏移控制,则覆盖对受保护设置所做的任何更改。

在部署期间配置安全设置

在部署过程中,可以修改偏移控制和其他构成群集安全基线的安全设置。

下表介绍了可在部署期间在 Azure 本地实例上配置的安全设置。

功能区域 特性 说明 支持偏移控制?
治理 安全基线 在每个节点上维护安全默认值。 帮助防止更改。
凭据保护 Windows Defender Credential Guard 使用基于虚拟化的安全性将机密与凭据盗窃攻击隔离开来。
应用程序控制 Windows Defender 应用程序控制 控制允许哪些驱动程序和应用直接在每个节点上运行。
静态数据加密 适用于 OS 启动卷的 BitLocker 加密每个节点上的 OS 启动卷。
静态数据加密 数据卷的 BitLocker 加密此系统上的群集共享卷(CSV)
传输中的数据保护 为外部 SMB 流量签名 对此系统和其他系统之间的 SMB 流量进行签名,以帮助防止中继攻击。
传输中的数据保护 群集内流量的 SMB 加密 加密系统中节点(在存储网络上)之间的流量。

在部署后修改安全设置

部署完成后,可以使用 PowerShell 修改安全设置,同时保持偏移控制。 某些功能需要重新启动才能生效。

PowerShell cmdlet 属性

以下 cmdlet 属性适用于 AzureStackOSConfigAgent 模块。 模块在部署期间安装。

  • Get-AzsSecurity -Scope: <Local |PerNode |AllNodes |簇>

    • Local - 在本地节点上提供布尔值(true/False)。 可以从常规远程 PowerShell 会话运行。
    • PerNode - 为每个节点提供布尔值(true/False)。
    • 报告 - 需要使用远程桌面协议(RDP)连接来使用 CredSSP 或 Azure 本地计算机。
      • AllNodes – 提供跨节点计算的布尔值(true/False)。
      • 群集 – 提供 ECE 存储中的布尔值。 与业务流程协调程序交互,并作用于群集中的所有节点。
  • Enable-AzsSecurity -Scope <Local |簇>

  • Disable-AzsSecurity -Scope <Local |簇>

    • FeatureName - <CredentialGuard |DriftControl |DRTM |HVCI |SideChannelMitigation |SMBEncryption |SMBSigning |VBS>

      • 偏移控制
      • Credential Guard
      • VBS (基于虚拟化的安全性)- 我们仅支持启用命令。
      • DRTM (用于度量的动态信任根)
      • HVCI (如果代码完整性时强制实施虚拟机监控程序)
      • 侧通道缓解
      • SMB 签名
      • SMB 群集加密

      重要

      Enable AzsSecurityDisable AzsSecurity cmdlet 仅在新部署或升级的部署上可用,安全基线正确应用于节点。 有关详细信息,请参阅 升级 Azure 本地后管理安全性。

下表记录了支持的安全功能、它们是否支持偏移控制以及是否需要重新启动来实现该功能。

名称 功能 支持偏移控制 需要重新启动
启用
基于虚拟化的安全性 (VBS)
启用
Credential Guard
启用
禁用
用于测量的动态信任根 (DRTM)
启用
禁用
虚拟机监控程序保护的代码完整性(HVCI)
启用
禁用
侧通道缓解
启用
禁用
SMB 签名
启用
禁用
SMB 群集加密 否,群集设置

后续步骤